Paquet typosquatte
Qu'est-ce que Paquet typosquatte ?
Paquet typosquattePaquet open source malveillant publie sous un nom tres proche d'une bibliotheque populaire pour que les developpeurs l'installent par erreur.
Les paquets typosquattes exploitent les habitudes d'autocompletion et de copier-coller des developpeurs. L'attaquant choisit une bibliotheque tres utilisee — react, lodash, requests, cross-env, urllib3 — et publie un paquet malveillant avec une variation minime dans le nom (crossenv vs cross-env, python3-dateutil vs python-dateutil) sur npm, PyPI, RubyGems ou NuGet. Quand un developpeur se trompe, copie une mauvaise documentation ou suit une suggestion d'IA, le paquet malveillant est installe et son code post-install ou d'import vole des tokens, installe des backdoors ou vide des portefeuilles crypto. Defenses: lockfiles, allow-lists, outils de revue de dependances (Socket, Snyk, GitHub Dependency Review), politiques CI strictes et protections de namespace cote registre.
● Exemples
- 01
crossenv sur npm (vs le legitime cross-env) a livre un voleur d'identifiants en 2017.
- 02
python3-dateutil et jeIlyfish sur PyPI (2019) ont typosquatte des bibliotheques populaires pour voler des cles SSH.
● Questions fréquentes
Qu'est-ce que Paquet typosquatte ?
Paquet open source malveillant publie sous un nom tres proche d'une bibliotheque populaire pour que les developpeurs l'installent par erreur. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Paquet typosquatte ?
Paquet open source malveillant publie sous un nom tres proche d'une bibliotheque populaire pour que les developpeurs l'installent par erreur.
Comment fonctionne Paquet typosquatte ?
Les paquets typosquattes exploitent les habitudes d'autocompletion et de copier-coller des developpeurs. L'attaquant choisit une bibliotheque tres utilisee — react, lodash, requests, cross-env, urllib3 — et publie un paquet malveillant avec une variation minime dans le nom (crossenv vs cross-env, python3-dateutil vs python-dateutil) sur npm, PyPI, RubyGems ou NuGet. Quand un developpeur se trompe, copie une mauvaise documentation ou suit une suggestion d'IA, le paquet malveillant est installe et son code post-install ou d'import vole des tokens, installe des backdoors ou vide des portefeuilles crypto. Defenses: lockfiles, allow-lists, outils de revue de dependances (Socket, Snyk, GitHub Dependency Review), politiques CI strictes et protections de namespace cote registre.
Comment se défendre contre Paquet typosquatte ?
Les défenses contre Paquet typosquatte combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Paquet typosquatte ?
Noms alternatifs courants : Typosquatting de paquets, Attaque par confusion de noms.
● Termes liés
- attacks№ 647
Paquet npm malveillant
Paquet npm qui dissimule du code destine a voler des donnees, installer du malware ou compromettre les applications qui l'utilisent lors de son installation.
- attacks№ 1097
Starjacking
Technique de supply chain ou un paquet malveillant pointe faussement vers un depot GitHub populaire afin d'heriter de ses etoiles, contributeurs et credibilite.
- appsec№ 304
Attaque par confusion de dépendances
Attaque de chaîne logicielle où un adversaire publie sur un registre public un paquet malveillant portant le même nom qu'une dépendance interne, trompant les outils de build qui récupèrent la version publique.
- attacks№ 1116
Attaque de la chaîne d'approvisionnement
Attaque qui compromet un fournisseur de logiciel, de matériel ou de services de confiance afin d'atteindre ses clients en aval.
- attacks№ 868
Protestware
Logiciel open source dont le mainteneur ajoute volontairement du code a motivation politique qui affiche un message ou sabote les utilisateurs percus comme provenant d'un pays cible.